ビットコインソフトウェアウォレットとセキュリティ

暗号通貨ウォレットについて少し話しましょう。 「暗号通貨」とは、主にビットコインを意味します。 他の暗号通貨でも状況は似ており、詳細に興味がある場合は自分で掘ることができます。

技術としての暗号通貨とブロックチェーンに関する継続的な誇大宣伝にもかかわらず、私の意見では、これらのソリューションのセキュリティについて話す人はほとんどいません。 誰もがブロックチェーン技術が提供するさまざまな利点に焦点を当て、マイニングと暗号通貨レートの急上昇について議論しますが、特にお金や分散財産レジストリに関してはセキュリティが重要です。 この記事のすべての情報は、 https：//bitcoin.org、https://en.bitcoin.it/wiki、https://bitcointalk.org、https://github.comなどのオープンソースから取得されます 。

以下は、暗号通貨ウォレットとそのセキュリティの概要です。 記事を書くときにこのトピックに突入すればするほど、同じビットコインのユーザーからのハッキングや資金の引き出しが世界中でほとんど行われなかったことに驚かされました。 しかし、まず最初に。

暗号通貨ウォレットとは何ですか？

少し用語を扱いましょう。 暗号通貨ウォレットは同時に以下を意味します：

• お金にアクセスするためのキーのセット。
• これらのキーを管理し、暗号通貨ネットワークでトランザクションを実行できるようにするプログラム。

キーのセットについて話すときに混乱しないように、「プライベートキー」という用語を使用します。 キーペアにはオープンペアも存在すること、および複数のペア自体が存在する可能性があることをすべて理解しています。

ウォレットについては、トランザクションを管理、保存、および実行する手段として正確に説明します。 ウォレットがないと、ビットコインや資金を別の暗号通貨で受け取ったり、保存したり、使ったりできません。 ウォレット-暗号通貨ネットワークの個人インターフェースであり、不換通貨の銀行口座に似ています。

実際、暗号通貨で資金を保管するセキュリティは、使用するウォレットに大きく依存します。 また、ウォレット自体のセキュリティは、秘密鍵を使用した操作のセキュリティに大きく基づいています。

すべてのウォレットは「ホット」と「コールド」に分かれています。 「ホット」は暗号通貨ウォレットであり、いつでも資金を使用できます。 「コールド」ウォレットは、まったく逆の方法で機能します。 暗号通貨を定期的に送信するためのものではありませんが、それにもかかわらず、いつでも資金を受け取ることができます。 最も単純な「コールド」ウォレットは、ウォレットの秘密鍵が書かれた紙です。

ビットコインホットウォレットは、秘密鍵を管理するアプリケーション、ウェブサイト、またはデバイスです。 最も人気があるのは、もちろん、モバイルとデスクトップの両方のアプリケーション、およびWebサイトです。 これらの各タイプについてもう少し詳しく見て、このウォレットまたはそのウォレットの使用がどのような脅威にさらされているかを見てみましょう。

ウォレットが非常に多いため、サイトhttps://bitcoin.org/に掲載されているもののみを調査することにしました。 以下は、パーソナルコンピューターのソフトウェアウォレットとして表示されます。

ウォレットの要件

最初に注意を払うのは、特定のウォレットを使用することのセキュリティに関するbitcoin.org Webサイトの推奨事項です。 ダウンロードすると、6つの要件と、これらの各ウォレットが満たす要件と満たさない要件に関する情報が表示されます。 これらの要件のほとんどは、情報セキュリティに直接または間接的に関連しているため、資金のセキュリティに関連しています。

これらは要件であり、これらの要件への準拠レベルです。

お金を管理する

• フルコントロール。 アカウントを凍結したり、お金を失ったりすることはできません。 ただし、秘密鍵のセキュリティとバックアップの責任は完全にあなたにあることを忘れないでください。
• 共同制御。 ウォレットでは、各トランザクションがユーザーと第三者の両方によって承認される必要があります。 通常、初期バックアップまたは電子メールで送信された事前署名済みトランザクションを使用して、資金の完全な制御を取り戻すことができます。
• ホスティング制御 ウォレットを使用すると、資金にアクセスできます。 ただし、秘密鍵の暗号化されたコピーは保存されます。 したがって、強力なパスワードを使用しない場合、またはサービスが危険にさらされた場合、資金が盗まれる可能性があります。
• お金は第三者によって管理されています。 これは、このサービスを信頼する必要があり、その側の事件の結果としてあなたの資金を失わないことを望むことを意味します。 現時点では、ほとんどのオンライン財布は銀行のような預金を保証していません。また、過去の多くのサービスにはセキュリティ上の問題がありました。

繰り返しますが、この情報は非表示ではなく、すべての人が利用できることに注意してください。 ロシア語の翻訳でさえ、一部の場所では完全に正しいわけではありませんが。

ですから、私はあなたのことを知りませんが、最後の2つのレベルの制御がまったく好きではありません。 強力なパスワードに関する話は、一般的に非常に悪いように聞こえます。 そしてここでのポイントは、ユーザーが本当に強力なパスワードを作成、入力、記憶することに大きな問題があるということではありませんが、キーロガーは消えていないということです。

そして、完全に現実的であるために、誰もがこれらの警告を読む可能性は低いです。 そして、たとえ彼が読んだとしても、セキュリティの問題がいくつあるかを誰もが理解するわけではありません。

トランザクション検証

• 完了。 ウォレットは完全なノードであり、有効性をチェックしてネットワーク上で操作を実行します。 支払いを確認するとき、第三者への信頼は必要ありません。 貴重なノードは最高レベルのセキュリティを提供し、ネットワークセキュリティにとって重要です。 ただし、初期同期にはより多くのディスク容量（145 GB以上）、帯域幅、およびより多くの時間が必要です。
• 単純化または分散化。 ウォレットは、サーバーリストからランダムサーバーを使用します。 これは、支払いを確認するときにこれらのサーバーを信頼する必要があることを意味します。 これは、完全なノードであるウォレットを使用するほど安全ではありません。
• 一元化。 ウォレットは、デフォルトで中央サーバーに依存しています。 そのため、支払いの隠蔽または改ざんの問題について、この第三者を100％信頼する必要があります。

私の意見では、すべてのネットワーク参加者がフルノードを使用することは、同時に柱の1つであると同時に、ブロックチェーンテクノロジーの主な欠点の1つでもあります。 相対値と絶対値の両方のトランザクションの数は常に増加しているため、ウォレット自体のサイズも常に増加します。 また、1日に数回のトランザクションで数TBのデータを保存したい人はほとんどいません。

代替ソリューションには、明らかなセキュリティ上の懸念があります。 サーバーのリストは、分散チェックの場合、適切に保護する必要があります。 そして、次のウイルスがこのリストに感染したサーバーを1つだけ残さないかのように。

そして、第三者への絶対的な信頼についても話したくありません。

ところで、暗号通貨のサポーターは、この場合、銀行システムが同様の方法で構成されているという事実に注意を払うのが大好きです。 確かにそうです。 しかし、銀行は数多くの基準によって規制されており、新しい問題/脆弱性が発生した場合、あなたの資金は保険によって保護されます。 したがって、暗号通貨サービスにはまだ成長の余地があります。

透明性

• 完全な透明性。 ウォレットのソースコードが開いており、アセンブリ手順が修正されています。 世界中の開発者はコードを監査し、実行可能コードが秘密を隠さないことを確認できます。
• 基本的な透明性。 開発者は、ウォレットのソースコードを公開しています。 世界中の開発者がコードを監査できます。 ただし、ウォレットソフトウェアをインストールまたは更新するときは、開発者を信頼する必要があります。
  
• リモートアプリケーション。 ウォレットはリモートサービスからロードされます。 したがって、ウォレットを使用するときは、事件の結果としての資金の盗難または損失の問題で開発者を信頼する必要があります。 ブラウザまたはモバイルアプリケーションに拡張機能を使用すると、これらのリスクを軽減できます。

通常、ソースコードは問題です。 このトピックはHabrの聴衆に非常に近いので、さらに詳しく説明しましょう。

何よりも、「世界中のすべての開発者がコードを監査できる」というフレーズが気に入っています。 ええ、まあ。 まず、開発者は、特定のウォレットが記述されている特定のプログラミング言語に関する十分な知識を持っている必要があります。 そして、これはすぐに「世界のあらゆる開発者」から大きな部分を切り離します。

第二に、すべての開発者が同時に情報セキュリティの専門家であるか、安全なコードを書いた経験があるわけではありません。 私は平凡な例を挙げます：

memset(password, 0, sizeof(password)) 

PVS-studio開発者からの記事を開いて、開発者が時々犯す間違いを思い出してください。 さらに、セキュリティの問題に精通している開発者であっても（たとえば、 OpenSSLのチェックに関する退屈な記事 ）。

したがって、非常に限られた数の開発者がウォレットコード全体の完全な監査を行うことができます。 これらのほとんどには、この監査に加えて、すでに多くの興味深いタスクがあります。 そのうちの1人がこのタスクに関心がある場合でも、gitの特定のコミットに対してのみ実行されます。 つまり、特定の時点でのコードセキュリティの評価は容易ではありません。

ビットコインのウェブサイトの人たちは、固定されたアセンブリ手順によって何を意味したのかを正確に理解できませんでした。 アセンブリに問題があります。 たとえば、受け取ったアセンブリまたは更新が正しいソースコードからビルドされていることを理解する方法。 現実的に考えてみましょう-ソースコードからウォレットを収集するユニットが1つあります。 あなたができる最善のことは、公式ウェブサイトにリストされているハッシュで、新しくダウンロードしたインストーラーからハッシュをチェックすることです。 そして、彼はサイトが危険にさらされておらず、正しいハッシュがそこにあること、そしてウォレットの開発者とコレクター、そしてサイト管理者を信頼することを望んでいます。

ソースコードに関する質問を完全に終了するために、私はBitcoin Coreのソースコードを調べることにしました。これは、すでに説明したすべてのインジケーターおよび以下で説明するインジケーターで、主要な位置を占めています。 ソースを簡単に見て、私が作ったコード例と結論は、以下を参照してください。

透明性ボーナス

私が偶然に発見した別の興味深い側面があります。 たとえば、自分自身を最高のBITCOINウォレットとして適度に位置付けるBitcoin Armoryウォレットを使用するとします。 「Armoryは、ユーザーおよび機関がBitcoin秘密鍵を生成および保存するのに利用できる最も安全でフル機能のソリューションです」という説明にあります。 Googleでウォレットの名前を記録すると、ウォレットには2つのサイトがあることがわかります。 最初のhttps://www.bitcoinarmory.comは、リストの一番上にある美しい言葉で商業化されています。 2番目のhttps://btcarmory.comはより技術的なものであり、 https：//bitcoin.org/からのリンクがそれを導きます。

そのため、テクニカルサイトのニュースのメインページに警告が表示されます。



商業サイトはそのようなナンセンスを書くことはありません=）そのような愚かな理由を心配する必要はありません。

環境安全

• 二要素認証。 ウォレットは安全でない環境でダウンロードできます。 ただし、サービスには2要素認証が必要です。 したがって、資金を盗むには、複数のデバイスまたはアカウントにアクセスする必要があります。
• 安全な環境。 ウォレットは、アプリケーションが通常分離されているモバイルデバイスで実行されます。 これにより、モバイルデバイスが紛失したり盗まれたりする可能性が高くなりますが、優れたマルウェア保護が提供されます。 モバイルデバイスの暗号化とウォレットバックアップにより、このリスクを軽減できます。
• 脆弱な環境。 ウォレットは、マルウェアに対して潜在的に脆弱なコンピューターにダウンロードできます。 複雑なパスワードを使用してコンピューターのセキュリティを強化し、資金の大部分をオフラインストレージに転送するか、二要素認証を有効にすると、ビットコインは盗みにくくなります。

これらの要件が説明されている用語が気に入っています。 開発者は、あなたの資金が確実に盗まれるというヒントをすぐに与えることにしたようです。 唯一の質問は、どれだけの労力と時間がかかるかです=）

ここでもう少しやめましょう。

強力な2要素認証を使用すると、多くの情報セキュリティの問題を本当に解決できます。

ここでのキーワードは「信頼できる」です。 また、正しく実装されました。 そして、これにより、すべてが常に良いとは限りません。 たとえば、 blockchain.infoは 2番目の要素として古き良きSMS を提供します。 Special Publication 800-63Bの同じNISTの推奨事項に関心のある人はいません。

• [帯域外検証] SMSの使用は非推奨であり、このガイダンスの今後のリリースでは使用できなくなります。

次の記事では、正しい2要素認証について詳しく説明します。この記事では、暗号通貨のハードウェアウォレットを詳しく見ていきます。

コンピューターやモバイルデバイスのセキュリティについては説明しません。 Kaspersky Labまたはセキュリティ市場の他の真剣なプレイヤーのレポートを読んで、結論を導き出すだけで十分です。

次の2つの点は、資金の保管のセキュリティに直接関係していません。 したがって、それらについて詳しく説明することはしませんが、写真を完成させるためにここに持ってきます。

守秘義務

• 優れた。 ウォレットを使用すると、使用する住所を変更することにより、残高と支払いを追跡することが難しくなります。 支払いを要求するたびに、新しいビットコインアドレスを使用する必要があります。 支払いを受信または送信するとき、ウォレットはそれらに関する情報を他のネットワークノードに転送しません。 ウォレットを使用すると、Torをプロキシとして構成および使用して、攻撃者またはインターネットサービスプロバイダーが支払いをIPアドレスに関連付けることを防ぐことができます。
• 基本。 ウォレットを使用すると、使用する住所を変更することにより、残高と支払いを追跡することが難しくなります。 支払いを要求するたびに、新しいビットコインアドレスを使用する必要があります。 ウォレットは、支払いをまとめてIPアドレスを記憶できる中央サーバーを使用します。 ウォレットを使用すると、Torをプロキシとして構成および使用して、攻撃者またはインターネットサービスプロバイダーが支払いをIPアドレスに関連付けることを防ぐことができます。
• 弱い ウォレットを使用すると、同じ住所を再利用するため、誰でも残高と支払いを追跡できます。 限られた情報を他の参加者に開示します。 他のホストはあなたのIPアドレスを記憶し、その後あなたが受け取ったまたは送ったすべての支払いをリンクできます。 Torはサポートされていません。

暗号通貨を完全に合法的に使用したとしても（暗号通貨に関して合法であることが大きな疑問ですが）、追加のプライバシーはあなたを傷つけません。 そして、誰も彼らの残高と費用を開示したくない。 あなたのKO。

委員会

• コミッションの完全な制御。 ウォレットを使用すると、RBFまたはCPFPを使用して資金を送信した後、手数料を変更できます。 このウォレットは、ネットワークの現在の状態に応じて、期限内に過払いなしでトランザクションを実行するための手数料に関する推奨事項も提供します。
• 動的な手数料。 ウォレットは、ネットワークの現在の状態に応じてコミッションに関する推奨事項を提供しますが、これはオーバーライドできます。 つまり、ウォレットは、支払いに遅れることなく、取引に適切なコミッションを選択するのに役立ちますが、同時に必要に応じてコミッションを設定するための完全な制御を提供します。
• 静的コミッション。 ウォレットは、ネットワークの現在の状態を考慮して、コミッションに関するオファーを提供しません。 これは、低すぎる手数料を選択した場合、または高すぎる手数料を支払った場合、取引に時間がかかる可能性があることを意味します。

まとめると

すべての要件は非常に合理的です。 さらに、このリストをさらに拡張して、セキュリティを高めることができます。

これらすべての要件を慎重に検討したら、それらを最大限に満たすウォレットを見つけたいと思います。 そして、ここからが面白い部分です。 https://bitcoin.orgには、すべての要件を満たす単一のウォレットはありません 。

最良の場合、ビットコインコアまたはビットコインノットを選択できます。そのような画像があります。


または、Electrumを使用します。そのような写真は次のとおりです。


緑を使用すると、完全に満足しているという誤った印象が生じます。 完全準拠-緑色の太字 この設計は意図的に明確に選択されているため、ポータルの作成者は通常のユーザーをわずかに操作することにしました。 これは良くありません。

これは終了した可能性があります。 誰もが秘密鍵が暗号通貨ウォレットに安全に保存されることをすでに想像していると思います。 しかし、私たちはHabréで。

Bitcoin Coreの例で秘密鍵を使用する

もう少し先に進んで、ソフトウェアクライアントの例を使用して、ストレージと秘密キーの操作がどのように行われるかを見てみましょう。 すでにわかったように、マルウェアはウォレットの秘密鍵にアクセスできます。 問題は、それが本当に簡単か難しいかです。

最初に、Bitcoin Coreがそれをどのように行うかを見てみましょう。 このプロセスは、ビットコイン自体のwikiで詳しく説明されています。 上記のスクリーンショットで見たように、このクライアントは最も先進的でほとんどの要件を満たすものの1つとしてマークされています。

ウォレットの秘密鍵は、他の情報とともに「ビットキー」形式でwallet.datファイルに保存されます。 このファイルは暗号化されている場合とされていない場合があります=）デフォルトでは、もちろん、何も暗号化されていません。 あなたは有能なユーザーであり、あなた自身で正しいボタンを見つけるでしょう。 AES-256-CBCアルゴリズムを使用して秘密鍵情報のみが暗号化されます。 この場合、いわゆるマスターキーが暗号化キーとして使用されます-乱数。 この場合、マスターキー自体は、SHA-512およびOpenSSL関数EVP_BytesToKeyを使用してパスフレーズから取得したキーで暗号化されます。 暗号化のラウンド数は、初期暗号化が行われるコンピューターの速度によって決まります。

その後、クライアントは通常どおりウォレットを使用します。 この状態は「ロック」と呼ばれます。 ある時点でウォレットの秘密鍵にアクセスする必要がある場合、クライアントのGUIでパスフレーズを入力するか、RPCでwalletpassphraseコマンドを使用する必要があります。 この場合、秘密鍵は復号化され、ウォレットは「ロック解除」状態になります。 最初のケースでは、特定の操作の実装に必要なだけ正確にこの状態になります。 2番目の場合、ウォレットがロック状態に戻るまでの時間は、RPCリクエストの2番目のパラメーターによって決定されます！

コードは次のようになります。

 int64_t nSleepTime = request.params[1].get_int64(); pwallet->nRelockTime = GetTime() + nSleepTime; RPCRunLater(strprintf("lockwallet(%s)", pwallet->GetName()), boost::bind(LockWallet, pwallet), nSleepTime); 

とてもかわいいですね。 通常のウォレットユーザーは、ファイルを見逃さない限り、自宅でサーバーを起動することはほとんどありません。 しかし、攻撃者は...

GUIを使用して同じパスフレーズをメモリに保存すると、すべてが非常に単純でもありません。 そのようなデータを保存するための特別なクラス、SecureStringを実装しました。 一般に、memsetを使用した熊手が正常にバイパスされて、悪くないように実装されました。 しかし、彼らはそれを必要以上に長くメモリに保持します。

たとえば、GUIはこれを行います（わかりやすくするために少し修正しました。askpassphrasedialog.cppを見ると面白いです：154）。

  case Unlock: if(!model->setWalletLocked(false, passphrase)) { QMessageBox::critical(this, tr("Wallet unlock failed"), tr("The passphrase entered for the wallet decryption was incorrect.")); } else { QDialog::accept(); // Success } break; } return; 

最初にaccept（）を実行します。そうすると、oldpassが範囲外になり、クリーンアップが行われます。 安全性の高いコードが安全性の低いコードほど美しくないことは明らかです。 しかし、私たちはここでお金を使って仕事をしていますか？

私の意見では、これはウォレットソースのオープン性に対する私の恐怖を完全に裏付けています。 オープンソースはセキュリティと同等ではありません。

PS

最初のコメントを予想して、すぐに答えようとします。

• はい、暗号ウォレットを使用するための特定のルールセットを作成できます。これにより、資金のセキュリティレベルが大幅に向上します。 使いやすさは確かに大きく損なわれます。
• はい、他よりもはるかに安全なお客様がいます。 問題は、残りも存在し、公式サイトで推奨されていることです。

この記事の目的は、対処する必要がある問題にコミュニティの注意を引くことであり、誰かが新しいテクノロジーに立ち向かうことではありません。

私は暗号通貨やブロックチェーン技術に対して何もしていません。 それどころか、私はすべての手でそれを支持しています（これは私の個人的な意見であり、ブログが記事を掲載している会社の公式な立場ではありません）。 しかし、私たちは新しいテクノロジーを使用し始めているため、技術的に有能にそれを行わなければならず、情報セキュリティを忘れてはなりません。